Openwall Layihəsi kernel modulunun buraxılışı (Linux Kernel Runtime Guard), işləyən nüvədə icazəsiz dəyişikliklərin aşkarlanmasını (bütövlük yoxlanışı) və ya istifadəçi proseslərinin icazələrini dəyişdirməyə cəhdləri (istismarların istifadəsinin aşkar edilməsi) təmin edir. Modul həm Linux nüvəsi üçün artıq məlum olan istismarlardan qorunmanın təşkili üçün (məsələn, sistemdə nüvəni yeniləməyin çətin olduğu vəziyyətlərdə), həm də hələ naməlum zəifliklər üçün istismarlara qarşı mübarizə üçün uyğundur. LKRG-nin xüsusiyyətləri haqqında oxuya bilərsiniz .
Yeni versiyada dəyişikliklər arasında:
- Kod müxtəlif CPU arxitekturalarına dəstək vermək üçün yenidən işlənib. ARM64 arxitekturasına ilkin dəstək əlavə edildi;
- Uyğunluq Linux ləpələri 5.1 və 5.2, həmçinin nüvəni qurarkən CONFIG_DYNAMIC_DEBUG seçimləri daxil edilmədən qurulmuş nüvələrlə təmin edilir,
CONFIG_ACPI və CONFIG_STACKTRACE və CONFIG_STATIC_USERMODEHELPER seçimi ilə qurulmuş nüvələrlə. grsecurity layihəsindən ləpələr üçün eksperimental dəstək əlavə edildi; - İlkinləşdirmə məntiqi əhəmiyyətli dərəcədə dəyişdirildi;
- Bütövlük yoxlayıcısı özünü heşinqi yenidən aktivləşdirdi və Jump Label mühərrikində (*_JUMP_LABEL) digər modulların yüklənməsi və ya boşaltma hadisələri ilə eyni vaxtda işə salındıqda dalana səbəb olan yarış vəziyyətini düzəltdi.
- İstismar aşkarlama koduna yeni sysctl lkrg.smep_panic (defolt olaraq aktiv) və lkrg.umh_lock (defolt olaraq söndürülür) əlavə edilib, SMEP/WP biti üçün əlavə yoxlamalar, sistemdə yeni tapşırıqların izlənilməsi üçün məntiq əlavə edilib. dəyişdirildi, tapşırıq resursları ilə sinxronizasiyanın daxili məntiqi yenidən işlənib, Ubuntu Apport ağ siyahısına yerləşdirilən OverlayFS dəstəyi əlavə edildi.
Mənbə: opennet.ru